
غول مدیریت گذرواژه LastPass تایید کرده است که مجرمان سایبری مخازن رمز عبور رمزگذاری شده مشتریانش را که رمز عبور و سایر اسرار مشتریانش را ذخیره می کند، در اوایل سال جاری به سرقت برده اند.
کریم طوبی، مدیر عامل LastPass در یک پست وبلاگ به روز شده درباره کشف آن، گفت مهاجمان یک کپی از یک نسخه پشتیبان از داده های انبار مشتری را با استفاده از کلیدهای ذخیره سازی ابری به سرقت رفته از یک کارمند LastPass گرفتند. حافظه پنهان فروشگاه های رمز عبور مشتری در یک “فرمت باینری اختصاصی” ذخیره می شود که حاوی داده های رمزگذاری نشده و رمزگذاری شده از فروشگاه است، اما جزئیات فنی و امنیتی این فرمت اختصاصی مشخص نشده است. دادههای رمزگذارینشده شامل آدرسهای وب طاقدار هستند، اما LastPass بیشتر یا در چه زمینهای توضیح نمیدهد. مشخص نیست نسخههای پشتیبان به سرقت رفته چقدر اخیر هستند.
LastPass گفت که فروشگاه های رمز عبور مشتریان رمزگذاری شده است و تنها با رمز عبور اصلی مشتریان که فقط برای مشتری شناخته شده است، می توان آن را باز کرد. اما این شرکت هشدار داد که مجرمان سایبری در پشت این نفوذ “ممکن است سعی کنند از زور بی رحمانه برای حدس زدن رمز عبور اصلی شما و رمزگشایی کپی های داده های انبار که گرفته اند استفاده کنند.”
توبا گفت مجرمان سایبری همچنین حجم عظیمی از داده های مشتریان از جمله نام، آدرس ایمیل، شماره تلفن و برخی جزئیات پرداخت را به دست آورده اند.
مدیریت رمز عبور ابزار بسیار خوبی برای ذخیره رمزهای عبور است که باید برای هر سایت یا سرویسی طولانی، پیچیده و منحصر به فرد باشد. اما حوادث امنیتی مانند این یادآوری می کند که همه مدیران رمز عبور یکسان ایجاد نمی شوند و می توانند به روش های مختلف مورد حمله یا در معرض خطر قرار گیرند. با توجه به اینکه مدل تهدید هرکسی متفاوت است، هیچکس نیازهای مشابه دیگری را نخواهد داشت.
در یک موقعیت نادر (و نه یک اشتباه تایپی) مانند این – که ما هنگام تجزیه و تحلیل اعلان نقض داده LastPass به آن اشاره کردیم – اگر یک بازیگر بد به فروشگاه های رمزگذاری رمزگذاری شده مشتریان دسترسی داشته باشد، “همه چیزی که آنها نیاز دارند رمز عبور اصلی قربانی است.” یک مخزن رمز عبور افشا شده یا در معرض خطر تنها به اندازه رمزگذاری – و رمز عبور – برای رمزگذاری آن قوی است.
بهترین کاری که می توانید به عنوان یک مشتری LastPass انجام دهید این است که رمز عبور اصلی LastPass فعلی خود را به یک رمز عبور (یا رمزهای عبور) جدید و منحصر به فرد تغییر دهید که در مکانی امن ضبط و ذخیره می شود. این بدان معناست که صندوق LastPass فعلی شما امن است.
اگر فکر میکنید که مخزن رمز عبور LastPass شما در معرض خطر قرار گرفته است – به عنوان مثال، اگر رمز عبور اصلی شما ضعیف است یا در جای دیگری از آن استفاده کردهاید، باید شروع به تغییر رمزهای عبور ذخیره شده در صندوق LastPass خود کنید. با مهمترین حسابها، مانند حسابهای ایمیل، حساب برنامه تلفن همراه، حسابهای بانکی و حسابهای شبکههای اجتماعی خود شروع کنید و در فهرست اولویتها به سمت پایین بروید.
خبر خوب این است که هر حسابی که با احراز هویت دو مرحلهای محافظت میشود، دسترسی هکرها به حسابهای شما را بدون فاکتور دوم، مانند پاپ آپ تلفن یا کد ارسال شده از طریق پیامک یا ایمیل، بسیار دشوارتر میکند. به همین دلیل مهم است که ابتدا از آن حسابهای ثانویه مانند حسابهای ایمیل و حسابهای طرح تلفن همراه محافظت کنید.